Implementación de la norma ISO 27005 en la gestión de la seguridad de la información

Compartir esta publicacion

Share on facebook
Share on linkedin
Share on twitter
Share on email

Se conoce a la norma ISO 27005 como un estándar internacional, el cual tiene como función el ocuparse sobre la gestión de riesgos relativos a la seguridad de la información. Al suministrar las directrices para las gestiones de riesgos, busca aprovecharse de los requisitos que se encuentran definidos en la norma ISO 27001 [1].

Es una norma fácilmente aplicable a cualquier organización que tenga intenciones de gestionar los riesgos pues estos pueden comprometer la seguridad de la información, al mismo tiempo la norma ISO 27005 sustituye a las normas ISO IEC TR 13335-3:1998 e ISO / IEC TR 13335-4:2000 encargadas de la gestión de la información y Comunicaciones Tecnológicas de Seguridad [1].

De acuerdo al incremento en el uso de tecnologías de la información pueden existir las posibilidades en el aumento de brechas o rupturas en los aspectos de la seguridad con respecto al uso, por ello se hace necesaria la gestión de la información desde la perspectiva tecnológica, la cual se basa en tres niveles conformados de la siguiente forma [1].

  • Aseguramiento y control sobre la estructura (nivel físico)
  • Sistemas de información (nivel lógico)
  • Medidas organizacionales (factor humano)

En la metodología de la aplicación, la norma no recomienda una metodología que sea concreta, puesto que dependerá de una serie de factores dependiendo de cada organización y como está la plantee, dado un ejemplo: el alcance de seguridad del Sistema de Gestión de Seguridad de la Información (SGSI) [1]

Al igual que otras normas ISO y sistemas basados en procesos, se recomienda el utilizar como base el modelo PHVA (Planificar-Hacer-Verificar- Actuar) con el objetivo de establecer un proceso de gestión en donde se enfoque a las mejoras continuas de acuerdo al siguiente esquema [1].

  • Planificar.

se hace el establecimiento de los objetivos, procedimientos y procesos de gestión de riesgo tecnológico, con el sentido de obtener resultados que estén acorde con las políticas y objetivos de la organización [1].

  • Hacer.

Se trata de la implementación y operación de los controles, procedimientos y procesos, también se incluye la implementación y operación de las políticas definidas por la organización [1].

  • Verificar.

Busca la evaluación y el desempeño contra las política y los objetivos de seguridad, al mismo tiempo informa sobre los resultados obtenidos a partir de las evaluaciones realizadas [1].

  • Actuar.

Consiste en establecer las políticas para la gestión de riesgos tecnológicos e implementar algunos cambios, si estos son requeridos para la mejora de los procesos dentro de la organización [1].

Por último el objetivo de la norma ISO 27005 siempre será proporcionar todas las directrices, para la gestión de la seguridad de la información, por lo tanto busca la compatibilidad con otras normas ISO. Es por esa razón que la norma ISO 27005, no hace recomendaciones sobre métodos específicos de análisis de riesgos, aunque es cierto que especifica un proceso estructurado, riguroso y sistemático, desde el análisis de riesgo hasta la creación de un plan de tratamiento de riesgos [2].

Fuentes

www.isotools.org

www.pmg-ssi.comv

Suscríbete a nuestro Newsletter

Reciba actualizaciones y aprenda de los mejores

Más para explorar

Estamos para ayudarte

Déjanos tus datos, nuestro equipo se pondrá en contacto para brindarte la mejor solución.

We are here to help you

Leave us your information, our team will contact you to provide you with the best solution.